La question de l'utilité des mots de passe revient régulièrement sur le devant de la scène. Si certains ont déjà franchi le pas en local avec le NFC ou les empreintes digitales, ils restent quasi indispensables pour s'identifier sur un site. Ce n'est plus le cas de Medium qui propose une alternative intéressante par email.
Les mots de passe sont en sursis si l'on en croit les déclarations de plusieurs géants du web, Google en tête. Dernière en date, la conférence I/O de fin mai (voir notre compte rendu) où le groupe de « pirates » ATAP dressait un bilan peu glorieux : « 70 % des utilisateurs oublient un mot de passe une fois par mois. Il faut en moyenne 2,4 essais avant d’entrer le bon mot de passe. Les humains sont une mauvaise source d’entropie ». Google en profitait alors pour présenter sa solution maison baptisée Abacus qui se base des capteurs afin d'identifier une personne.
Mais pour le moment, rien de bien concret n'a émergé et, de manière générale, le mot de passe reste quasiment incontournable pour s'identifier sur Internet. Afin de renforcer la sécurité, il est parfois doublé d'une double authentification via une clé USB de sécurité (FIDO U2F par exemple), une application dédiée ou bien un SMS envoyé sur votre téléphone portable ; de quoi limiter les risques en cas de fuites de données.
Pour se connecter à Medium, plus besoin de mot de passe, un simple email suffit
Dans un billet publié récemment, la plateforme de blogs Medium revient sur ce sujet et explique que « l'authentification est une affaire sérieuse ». Elle aussi dresse un constat peu flatteur : « Les mots de passe ne sont ni sûrs ni simples. De plus, ils sont soit difficiles à se rappeler, soit faciles à deviner, et tout le monde réutilise les mêmes (même s'ils savent qu'ils ne devraient pas le faire), et enfin ils sont difficiles à taper sur mobile ».
La plateforme annonce ensuite la mise en place d'un changement important avec un « processus de connexion aussi simple et sécurisé à utiliser que possible, et ce, sur toutes les plateformes » : un simple lien (avec un token) dans un email. Oui, rien de plus, aucun mot de passe ou code PIN à saisir.
Pour s'identifier, il suffit donc de se rendre sur Medium, de choisir la méthode d'authentification par email et d'entrer son adresse email. Une fois le lien reçu par courriel dans sa boite de réception, il suffit de cliquer dessus pour être redirigé et logué automatiquement sur Medium. Sur iOS, le lien ouvre directement l'application Medium, et cela arrivera prochainement sur Android.
La plateforme précise au passage que cela permet de se passer d'une identification par Facebook ou Twitter, qui était jusqu'à présent incontournable.
Un lien valable une seule fois et pendant 15 minutes, mais pas de double authentification
Bien évidemment, certaines protections sont mises en place : le lien n'est valable que pendant 15 minutes et il est utilisable qu'une seule fois pour s'identifier. Afin de rassurer ses utilisateurs, Medium ajoute que sa procédure (par email) est finalement très proche de celle utilisée par de nombreux sites en cas de changement de mot de passe.
La plateforme enfonce le clou : « Cela semble contre-intuitif, mais c'est en fait plus sécurisé qu'un système par mot de passe. Sur la plupart des services, si quelqu'un devine ou dérobe votre mot de passe, il a accès à votre compte jusqu'à ce que vous changiez votre mot de passe, ce qui peut prendre du temps ». Pour Medium, sa solution présente en plus l'avantage de vous notifier dès que quelqu'un tente de se connecter à votre compte.
Pas d'emails chiffrés, dommage
Si le principe semble intéressant, il faudra par contre bien cadenasser sa boite email, qui est pour sa part généralement protégée par... un mot de passe. Il serait également bien que Medium propose l'envoi d'emails chiffrés afin d'éviter une interception, ce qui n'est malheureusement pas le cas pour le moment. On peut aussi imaginer que cette méthode d'identification par email puisse être combinée avec une double authentification (application, clé USB, SMS, etc.), mais ce n'est pas encore possible.
Quoi qu'il en soit, Medium a l'avantage de proposer une solution qui, même si elle est encore perfectible, semble plutôt intéressante sur le papier. Bref, sur la fin des mots de passe, il y a ceux qui en parlent et ceux qui proposent des solutions concrètes. Reste à voir si cela donnera des idées à d'autres.
Commentaires (54)
#1
C’est le serpent qui se mort la queue. C’est même pire, il suffit de pénétrer le compte mail pour ainsi pouvoir contrôler le compte Medium. Un mot de passe au lieu de deux. Je ne vois pas ce que ca sécurise, hormis si l’auth au compte mail est MFA …
#2
Pas convaincu, mais c’est bien d’essayer de régler ce problème.
#3
Sujet délicat, pour moi la solution c’est d’avoir une clé usb «intelligente» qui peut produire des tokens à partir d’une clé pgp. Le truc c’est qu’avec l’essor des smartphones, les gens veulent du tout intégré et la sécurité…
Mozilla a lancé depuis un moment un projet ayant le même but : https://login.persona.org/ et dont le fonctionnement est beaucoup plus sécurisé, dommage que ça ne prenne pas…
#4
Il est vrai que de retenir une “base” de mot de passe qu’on personnalise, c’est hyper difficile.
Il suffit de ne retenir que la “recette”.
#5
A la rigueur, un code envoyé par mail aurait pu faire l’affaire (on peut le recevoir sur le portable, pour l’utiliser sur le fixe).
Mais un lien, c’est super pas pratique… et ça demande soit d’être toujours connecté à sa boite mail (donc mot de passe enregistré), soit de se connecter pour l’occasion… avec son mot de passe.
Une “solution” bien fade, hélas.
#6
Ce n’est pas pire puisque dans tout les cas, l’accès à Medium est possible via “mdp oublié”.
#7
Ça marche jamais ça. Je fonctionnais comme ça mais certains sites demande de la ponctuation, d’autre pas, d’autre 2 types de ponctuations différent mais pas de point. Je passe aussi le site qui dit que ton mot de passe doit faire entre 6 et 8 caractères, pas de bol si le tiens en fait 9… Avec 2 majuscules qui ne se suivent pas etc. etc.
Chaque site a son système, ce qui fait que la recette que j’appliquais de base… Bah elle marche plus. J’ai oublié les sites qui t’interdisent d’utiliser le même mot de passe que les 30 années précédentes (j’exagère à peine)…
Bref aujourd’hui c’ets impossible de gérer tous ses mots de passes. Heureusement certains sites sont patients avec 5 essais, 3 essais c’est déjà + galère… J’aimerais vraiment un système mieux pensé mais je sais que c’est pas simple. La preuve, c’est que si je comprends bien Medium, il suffirait d’avoir accès au mail pour se connecter partout… Ah bah c’ets à peu près déjà le cas en faisant mot de passe oublié en fait. Donc pour moi c’est pas vraiment moins sécurisé… Faudrait juste ajouter une double authentification avec téléphone mobile.
#8
C’est exactement ce qu’on entend par “Les humains sont une mauvaise source d’entropie”: l’existence d’une recette pour générer des mots de passe.
compte gmail: user=toto pass=totogmail
compte facebook: user=titi pass=titifacebook
compte itunes: user=tata pass=tataitunes
compte NXI: user=tutu pass=???? <– hmmmm let me guess
" />
#9
#10
Encore une fausse bonne idée.
Ton serveur mail est en carafe, fini, plus d’accès à quoi que ce soit
Sans compter l’interception d’e-mails.
Encore une boîte qui veut faire parler d’elle
#11
ce que je trouve le mieux c’est l’authentification par téléphone. Il existe des applis professionnel qui gère via une auth un popup sur le téléphone et il suffit de cliquer dessus et ça marche.
Après c’est pro c’est payant mais je trouve l’idée bonne.
#12
#13
Il te suffit de n’en connaitre qu’un seul, si il contient des caractères manifestement liés au service (xxx_FB pour Facebook, xxx_NI pour Next Inpact, etc.) tu vas vite tenter ta chance sur les autres services les plus connus ^^
Et pour ça il suffit de regarder les leaks réguliers de BDD volées aux services, les mots de passes enregistrés sur les ordis public, le shoulder surfing et j’en passe…
#14
Enfin ton compte mail est compromis, quels que soient les méthodes de login choisis, tous les sites qui permettent de réintialiser leur mot de passe tombent également. Donc non, ce n’est ni mieux, ni pire de ce point de vue là.
#15
Mouais les authentifications via téléphone pose quand même un problème : pas de téléphone = pas d’accès.
Du coup dès que tu es à l’étranger, que tu ne captes pas, que tu n’a plus de batterie ou encore que t’as oublié ton téléphone (cas qui peut arriver régulièrement) ça peut vite devenir la grosse galère..
Ça me fait penser à ma copine qui à voulue se connecter à son compte hotmail depuis l’espagne : par mesure de sécurité l’accès demandais de confirmer l’identité via téléphone ou via une autre adresse email. Malheureusement pas de réseau en espagne (avec free) et la boite mail de secours était aussi une hotmail qui lui demandais la même chose." />
Bon heureusement j’avais mon compte gmail qui lui ne faisait pas chier.." />
#16
#17
“Les mots de passe ne sont ni sûrs ni simples. De plus, ils sont soit difficiles à se rappeler, soit faciles à deviner”
Randal Munroe l’avait anticipé, en ces termes exacts.
La solution : des passphrase. Facile a retenir, dur à bruteforcer.
#18
A chaque news password, l’éternel débat.
#19
C’est vachement novateur, mozilla avait fait la même chose il y a quelques années…
 https://www.mozilla.org/en-US/persona/
#20
Je mets tout mes mots de passe sous drive, des mots de passe compliqués.
J’ai bien évidement une recette universelle à appliquer à tous ces MDP pour les utiliser.
Quelques secondes pour ouvrir drive et trouver le MDP.
#21
Pas téléphone dans ce cas il propose par email. Après quand on perd ses clefs de voiture on ne peu plus la démarrer..
#22
Je pense que les solutions KeePass et consœurs + cloud (Google Drive, OneDrive, …) ont de l’avenir devant elles !
1 master password + 1 mot de passe aléatoire pour chaque site.
En plus, avec des applications Android qui se font passer pour un clavier, même plus besoin de taper.
#23
#24
Oui, enfin, une phrase contient de la ponctuation, donc des caractères spéciaux non ?
#25
#26
Chez Google on a moins ce problème : l’application Google Authentificator qui génère le code de sécurité n’a plus besoin de réseau une fois paramétrée, il faut alors juste de la batterie ;)
#27
Les passphrases ça revient tout le temps dans les débats, c’est séduisant mais avoir une passphrase différente pour chaque compte est à peu près aussi difficile à retenir que pour les mots de passe.
Les “recettes”, idem: plus la recette est complexe, plus elle est difficile à retenir/appliquer. Et si je me faisais voler un mot de passe utilisant une recette, je ne serais pas rassuré pour les autres utilisant la même recette.
Pour moi, la seule bonne solution à l’heure actuelle, c’est le gestionnaire de mots de passe. Les mots de passe sont tous indépendants, et complètement aléatoires dont très robustres, 0 effort de mémoire (sauf pour retenir le mot de passe maître), saisie automatique plus rapide que la saisie manuelle.
J’ai environs 150 entrées dans cette base, je ne me vois pas retenir autant de mots de passe ni de phrases de passe.
#28
Heu… C’est quoi Medium. Je pige pas trop le concept là. Faut créer un compte pour pouvoir lire le contenu c’est ça ? " />
#29
Mouais, ça prendra jamais, trop long pour le réaliser. Une double authentification avec un SMS est plus rapide. Surtout que les mails arrivent dans 95% des cas dans les quelques secondes, mais on a tous déjà attendu un mail généré automatiquement qui devrait arriver, etqui finalement, a force de F5, débarque dans une lenteur mystérieuse. Or il suffit d’une fois ou l’on ne peut pas utiliser le service pour faire demi tour.
Bon, ceci dit j’ai déjà aussi attendu le SMS de double authentification qui a mis 5 min a arriver…
Sinon perso j’utilise une recette (addition de la première lettre du site en question, d’un mot de passe générique et d’un nombre), qui fonctionnne sur “presque” tout, suffisament sécurisé et très facile. A côté de ça j’ai un conteneur keepass pour enregistrer mes mots de passe mais qui n’a besoin d’être ouvert que rarement.
NB : ma “recette” est un tout petit peu différente, mais c’est pour illustrer…
#30
Hum, conseille lui d’utiliser l’application Authenticator de Microsoft. Plus besoin d’attendre un email, l’appli génère un code et ca fonctionne en hors ligne aussi.
#31
Aucune logique : identification sur le site sans mot de passe ok, mais identification dans la boite de réception par mot de passe. Une alternative incomplète, et le manque de sécurité d’un mot de passe est toujours présent.
#32
#33
#34
#35
Cela ne fait que détourner le problème. Cela impose l’accès à la boite e-mail, on doit toujours d’y connecter pour accéder aux autres sites. On se fait hacker la boite e-mail = pareil pour tous les sites basés sur ce système. Et souvent il n’y a aucune vérification pour changer le mot de passe (juste être connecté et aller dans son compte puis valider).
#36
Il n’y a pas de solution miracle.
À partir du moment où on a intégré ça, tout devient plus logique bordélique " />
#37
#38
#39
Oui, enfin faut aussi faire un tout petit effort à un moment (et je pense que c’est ça le souci : les gens ne comprennent pas l’intérêt de faire un effort) ; faire une recette du style : “deux chaînes de chiffres” + “1 chaîne de caractères en Majuscules” + “1 chaîne de caractères en minuscule” + “un caractère spécial”, que tu peux mixer/utiliser partiellement à ta guise, ça offre déjà des possibilités.
Alors oui, du coup des fois sur des sites tu vas douter “merde, j’ai utilisé quel combo déjà ?!” mais ce n’est pas si grave de faire 1, 2 tentatives ou finir par demander un changement de mots de passe.
Mais l’idée du process “réinitialisation de mot de passe” pour l’authentification est une idée “d’appoint” intéressante ; bien sûr, elle est insuffisante tant que les clients emails sont soumis à une authentification par mot de passe, ça rend la connexion au site dépendante d’un service tiers, MAIS ça reste intéressant " />
#40
Enfin là si tu t’en fais griller un, les autres vont suivre.
Faudrait au mini remplacer aussi le nom du site pas un truc “construit”.
#41
Bonjour
Ma solution : Dashlane.com
#42
Personnellement, je vais rester avec la double authentification, qui apporte un réel plus au niveau de la sécurité. Il faut juste avoir le téléphone avec soi, mais bonne chance aux éventuels pirates " />
#43
#44
" /> Sympa comme site, je cherchais justement des password checker, ceux que j’ai trouvé étaient beaucoup plus permissifs que celui-là.
Pour “Ô nombre d’élégance”, il me dit que ca prendrait des siècles à bruteforcer mais que le mdp n’est pas acceptable car il ne contient pas de chiffre. Idem pour “Que j’aime à faire connaitre un nombre utile”.
Au final, la plupart des mes mdp usuels sont trop courts pour lui, le seul qui est acceptable est : “@rretez2LireMesMDP!!” (n’essayez pas, je ne l’utilise plus ^^)
Edit : marrant
“1PourTous,EtTousPour1” n’est pas acceptable et craqué en 5 mois selon lui, mais si je retire un “t” pour avoir “1PourTous,ETousPour1”, la ça devient 5 ans et donc acceptable.
#45
Un pattern qui marche bien, c’est de faire du JSON : {MDP2015=“secure”} est un bon mot de passe selon lui.
Après, on peut utiliser son imagination pour mapper diverses variables à l’application concernée ^^
{“site”:“NXI”,“pwd”:“1”}
#46
#47
Assez d’accord en général.
Cependant, dans l’exemple que je donne, on voit que le système est assez malin car il ne s’est pas basé sur la longueur du mot de passe (le plus court est jugé meilleur) mais sur l’entropie : supprimer un “t” qui était déjà présent 2 fois dans le mdp fait augmenter le désordre.
Je ne vois pas l’outil comme un réel indicateur de craquage mais un vérificateur que certaines règles sont bien respectées. Les règles en question ayant été dictées par la logique mathématique, et des experts.
#48
#49
Ve genre de batard de développeur méritent des bonnes tartes. Et malheureusement il en a trop qui sont des bon attardés de la sécurité et qui emmerdent tous les user avec des règles ultra spécifiques et débile sur la struture de leur mdp.
Il y a aussi les trou de balles qui stockent la base de mdp en clair sans hash et les transit de mdp en clair.
C’est bien ça qui est dangereux, c’est qu’il faut faire confiance aux service que l’on utilise si l’on utilise plusieurs fois le même mot de passe.
Je dois avoir au moins 500 comptes un peu partout sur le net, il devient impossible d’un point de vue pratique d’utiliser des mdp tout le temps différents.
#50
J’avoue que je n’ai pas bien saisi son découpage. Comme tu le faisait remarquer, c’est un raisonnement a posteriori qui ne cadre pas avec la réalité (pour ce que j’en sais).
Cependant, c’est un des moins permissifs que j’ai utilisé, on va dire qu’il encourage à forger des mdp vraiment secure.
#51
#52
Bahhhh.
Quand ce sera au point, Google ou Apple vont racheter Medium, et voilà.
#53
#54
Pas convaincu du tout, vive le SMS.